O Return Over Security Investment (ROSI) é uma métrica importante, mas sua adoção ainda é limitada por alguns fatores. Entre eles, podemos destacar: 1. Dificuldade de Mensuração: Calcular o retorno sobre o investimento em segurança pode ser complicado, pois envolve estimativas de perdas potenciais e benefícios que nem sempre são tangíveis. 2. Falta de Consciência: Muitas organizações ainda não reconhecem a importância de investir em segurança da informação, priorizando outras áreas que parecem gerar retorno mais imediato. 3. Cultura Organizacional: Em algumas empresas, a cultura pode não valorizar adequadamente a segurança, levando a uma resistência em adotar métricas como o ROSI. 4. Complexidade dos Dados: A análise de dados necessários para calcular o ROSI pode ser complexa e exigir ferramentas e habilidades que nem todas as organizações possuem. 5. Foco em Compliance: Muitas empresas se concentram em atender requisitos de conformidade, em vez de avaliar o retorno real de seus investimentos em segurança. Esses fatores contribuem para que o ROSI não seja amplamente utilizado, apesar de suas vantagens potenciais.